tcpdump使用

Posted 2021-01-17 lihaipeng

Tcp dump

最简单的

···tcpdump -i eth0 - s 0 -w a.cap

然后

···tcpdump -i eth0 tcp port 22 -s 0 -w a.cap

 

i是选择网卡 -s 0是抓取的数据包包括全部数据（因为默认是68bit）-w是写入到一个文件中

···tcpdump -r a.cap 读取文件

···tcpdump -A -r a.cap 读取文件 ascll码格式的内容

···tcpdump -X -r a.cap 读取文件 以十六进制读取

···tcpdump -i eth0 port 22 -s 0 -w a.cap

···tcpdump -n -r a.cap | awk ‘{print $3}’ | sort -u

 不对包里的ip地址作名称的解析 选择第三列，awk输出第三行，最后清除掉重复的东西

···tcpdump -n -r a.cap | gawk -F: ‘{print $3}‘ | sort -u

gawk和awk不知道有什么区别，加-F是输出前几列，不加就是那一列，注意awk后面和-F:后面是有空格的

···tcpdump -n src host 1.1.1.1 -r a.cap

···tcpdump -n dst host 1.1.1.1 -r a.cap

···tcpdump -nX tcp port 1526 -r a.cap

···tcpdunp -A -n ‘tcp[13]=24’ -r a.cap（专门查找第十四个字节为00011000的）这是tcp的标志位的字节